5 formas en las que los ciberdelincuentes se aprovechan de los códigos QR.

Debido a la polivalencia de los códigos QR y el gran número de acciones que se pueden efectuar, la gama de posibilidades para un ciberdelincuente es muy amplia. Si a esto le añadimos la cantidad de códigos QR que se encuentran en hoteles, restaurantes, bares, aeropuertos, comercios e inclusive plataformas de pagos, la zona de ataque se amplía mucho más.

Por esta razón, el equipo de SAI te comparte los siguientes ejemplos de acciones maliciosas que podrían llevar a cabo los cibercriminales, abusando de estos códigos.

1. Redirigir al consumidor a un sitio malicioso con la finalidad de robar su información personal.

Los ataques de phishing ya no se difunden únicamente por correo electrónico. Del mismo modo que los agresores ejecutan técnicas de BlackHat SEO o malvertising para enviar a sus víctimas a sitios engañosos, podrían replicarlo con los códigos QR. Particularmente si estos se ubican en anuncios en la vía pública o en las zonas de atención al cliente de instituciones financieras. 

En Estados Unidos recientemente delincuentes insertaron en parquímetros públicos situados en diversas ciudades, calcomanías con códigos QR falsificados que enviaban a las posibles víctimas a un sitio fraudulento para presuntamente hacer el pago pero con el verdadero propósito de robar su información financiera.

2. Descargar un archivo maligno en el dispositivo de la víctima.

Diversos restaurantes o bares emplean códigos QR para que el cliente descargue un PDF con el menú o instalen una app para solicitar su pedido. En este y otros contextos semejantes, un cibercriminal fácilmente podría perturbar el código QR para dirigir a la persona a descargar un PDF malicioso o una aplicación fraudulenta.

3. Controlar el dispositivo del afectado.

Vincular un dispositivo a la red Wi-Fi, enviar un email o un SMS con un mensaje predefinido, o guardar un contacto en el equipo son ejemplos de acciones básicas que cualquier lector QR es capaz de interpretar y ejecutar.

Aunque estas acciones en sí no son dañinas, realmente podrían ser aprovechadas por un agresor para conectar un dispositivo a una red intervenida, enviar mensajes en nombre del estafado o guardar un contacto para un futuro engaño.

SAI te invita a descubrir los servicios de ciberseguridad que tenemos disponibles para que tu o tu empresa no sea víctima de este tipo de amenazas constantes.

4. Realizar solicitudes de dinero o desviar pagos.

Actualmente en la mayoría de las apps financieras es posible efectuar pagos por medio de códigos QR, los cuales contienen los datos del destinatario del dinero. Gran parte de las tiendas dejan dichos códigos a la vista de sus usuarios para simplificar la operación. Un estafador podría alterar este QR con su propia información y obtener así los cobros en sus cuentas. 

También podría producir códigos con solicitudes de cobro para así intentar engañar a consumidores, como le sucedió a unos usuarios que reportaron que fueron timados con el envío de un código QR falso para efectuar un pago.

5. Robar la identidad de la víctima o el acceso a una aplicación

Diversos códigos QR se emplean como una acreditación para poder comprobar información de un individuo, como los pases sanitarios o documento de identificación. En estas circunstancias los códigos QR contienen datos demasiados sensibles y confidenciales, a la cual un criminal podría fácilmente obtener tan solo escaneando el código QR.

Por otra parte, muchas apps como WhatsApp o Telegram, hacen uso de códigos para autentificar la sesión de un usuario y así concederle ingresar a su cuenta. Tal y como ya ha sucedido con WhatsApp, con ciberataques como QRLjacking los hackers pueden timar a una persona sustituyendo la identidad del servicio y engañándole para que escanee el QR brindado por el atacante.

En conclusión, muchos de estos riesgos se centran en la ingeniería social y en lograr engañar a la víctima para así lograr su objetivo. Por lo tanto, ahora que sabemos lo vulnerable que nos encontramos al acudir a un restaurante o realizar un pago con este método, te exhortamos a siempre estar atento, prestar atención en lo que vas a escanear y cerciorarte de que la fuente sea confiable.

Sí estás interesado en proteger tu información sensible y confidencial, te encuentras en el lugar indicado, ya que nosotros lo podemos hacer por ti. 

Haz clic en este botón para recibir más información y poder brindarte seguimiento.

Solicita más Información